Das deutsche Gesetz zur Umsetzung von NIS2, der neuen Cybersicherheitsrichtlinie der EU, wurde letzten Freitag (11.10.2024) in erster Lesung im Bundestag beraten. Laut dem Gesetzentwurf will die Bundesregierung mit der Verabschiedung des NIS2-Umsetzungsgesetzes das Instrumentarium des Bundesamts für Sicherheit in der Informationstechnik (BSI) ausweiten und den Katalog der Mindestsicherheitsanforderungen der NIS2-Richtlinie in das BSI-Gesetz übernehmen.
In der Praxis bedeutet dies, dass das BSI mit weitreichenden Aufsichtsbefugnissen ausgestattet wird . Anstelle eines bisherigen BSI-Leitfadens soll künftig ein Maßnahmenkatalog gelten, der per Gesetz eingehalten werden muss. Wie der parlamentarische Staatssekretär des Innern Johann Saathoff erläuterte, soll das BSI zu einer zentralen Aufsichtsstelle zur Überwachung der Einhaltung gesetzlicher Maßnahmen zur Cybersicherheit ausgebaut werden. Um dies gesetzlich umzusetzen, sei eine Grundgesetzänderung nötig, die im Laufe des nächsten Jahres verabschiedet werden soll.
Der Entwurf wurde von der Opposition vor allem wegen seiner offensichtlichen Lückenhaftigkeit heftig kritisiert. „Man fragt sich, wie das Ganze beim BMJ (Bundesministerium der Justiz) durch die Rechtmäßigkeitsprüfung gelangt ist“, wunderte sich der Abgeordnete der CDU/CSU-Fraktion Johann Henrichmann. Außerdem fehlten dem BSI die nötigen Mittel, um seine neue Rolle auszufüllen. Bei der Behörde seien derzeit rund 800 Planstellen unbesetzt und das Budget für 2025 wurde um 21 Millionen gekürzt.
Was genau fordert die NIS2-Richtlinie? Was sollten Unternehmen jetzt tun? In diesem Whitepaper finden Sie einen kompakten Überblick.
Henrichmanns Fraktionskollegin Petra Nicolaisen merkte an, dass der vorliegende Gesetzentwurf noch einen langen Weg bis zur Verabschiedung eines praxistauglichen Gesetzes habe. Dies sei besonders im Hinblick auf kommunale Versorgungsunternehmen, die mehrere Sparten wie Energie, Trinkwasser und Abwasser betreuen, der Fall. Diese seien nun besonders anfällig für doppelte Regulierung. Der Verband Kommunaler Unternehmen habe schon in einer Stellungnahme klar gemacht, dass sich hier ein Chaos an Vorschriften abzeichnet.
Die Abgeordnete Anke Domscheit-Berg von den Linken bemängelte unter anderem, dass das Gesetz die Einstellung eines Bundes-CISO (Chief Information Security Officer) vorsehe, dieser jedoch nicht mit einem Veto-Recht ausgestattet sein soll, sondern nur koordinierend und unterstützend aktiv werden darf. Damit sei er „von Anfang an ein zahnloser Tiger“.
Kritik erntete auch der laut Gesetzentwurf flickenteppichähnliche Geltungsbereich des Gesetzes im öffentlichen Dienst. Während zum Beispiel Bundesbehörden wie das Bundeskanzleramt oder die Ministerien zu Anpassungen ihres Schutzniveaus verpflichtet sind, müssen nachgeordnete Behörden und die Bundesverwaltung weiterhin lediglich die Mindestanforderungen des Umsetzungsplans Bund aus dem Jahr 2017 erfüllen. Kommunale Verwaltungen sind ebenfalls vorerst von NIS2 ausgenommen.
Der Gesetzentwurf wurde zur weiteren Beratung an den Innenausschuss überwiesen.
Ist Ihr IT-Management auf der Höhe der NIS2-Richtlinie? Finden Sie es mit dem 20-Fragen-Katalog des Self-Assessment-Whitepapers von Sycor heraus.